Una nueva campaña de malware de acceso inicial "Nitrogen" utiliza anuncios de búsqueda de Google y Bing para promocionar sitios de software falsos que infectan a usuarios desprevenidos con Cobalt Strike y cargas útiles de ransomware. El objetivo del malware Nitrogen es proporcionar a los actores de la amenaza acceso inicial a las redes corporativas, lo que les permite llevar a cabo el robo de datos, el ciberespionaje y, en última instancia, desplegar el ransomware BlackCat/ALPHV.
- AnyDesk (aplicación de escritorio remoto)
- WinSCP (cliente SFTP/FTP para Windows)
- Cisco AnyConnect (suite VPN)
- TreeSize Free (calculador y gestor de espacio en disco)
En función de los criterios de selección, el motor de búsqueda mostrará un anuncio que promociona el software buscado.
Al hacer clic en el enlace, el visitante es redirigido a páginas de alojamiento de WordPress comprometidas que imitan los sitios legítimos de descarga de software para la aplicación en cuestión.
Sólo los visitantes de determinadas regiones geográficas son redirigidos a los sitios de phishing, mientras que las visitas directas a las URL maliciosas provocan una redirección a vídeos de YouTube.
Desde esos sitios falsos, los usuarios descargan instaladores ISO troyanizados ("install.exe"), que contienen y cargan lateralmente un archivo DLL malicioso ("msi.dll").
El msi.dll es el instalador del malware de acceso inicial Nitrogen llamado internamente "NitrogenInstaller", que además instala la aplicación prometida para evitar sospechas y un paquete Python malicioso.
El NitrogenInstaller también crea una clave de ejecución en el registro llamada "Python" para que persista, apuntando a un binario malicioso ("pythonw.exe") que se ejecuta cada cinco minutos.
El componente Python ejecutará "NitrogenStager" ("python.311.dll"), que es responsable de establecer la comunicación con el C2 del actor de la amenaza y de lanzar un intérprete de comandos Meterpreter y balizas Cobalt Strike en el sistema de la víctima.
En algunos casos observados por los analistas de Sophos, los atacantes pasaron a la actividad práctica una vez ejecutado el script Meterpreter en el sistema objetivo, ejecutando comandos manuales para recuperar archivos ZIP adicionales y entornos Python 3.
Este último es necesario para ejecutar Cobalt Strike en memoria, ya que el NitrogenStager no puede ejecutar scripts Python.
Sophos dice que debido a la detección y detención con éxito de los ataques Nitrogen observados, no ha determinado el objetivo del actor de la amenaza, pero la cadena de infección apunta a la puesta en escena de los sistemas comprometidos para el despliegue del ransomware.
Sin embargo, Trend Micro había informado anteriormente de que esta cadena de ataque llevó al despliegue del ransomware BlackCat en al menos un caso.
Esta campaña no es la primera vez que las bandas de ransomware abusan de los anuncios de los motores de búsqueda para obtener acceso inicial a las redes corporativas, ya que las operaciones de ransomware Royal y Clop utilizaron esta táctica en el pasado.
Se recomienda a los usuarios que eviten hacer clic en los resultados "promocionados" de los motores de búsqueda cuando descarguen software y, en su lugar, descarguen únicamente desde el sitio oficial del desarrollador.
Además, desconfia de cualquier descarga que utilice archivos ISO para software, ya que es un método poco común para distribuir software legítimo de Windows, que normalmente viene como un archivo .exe o .zip.
Fuentes:
https://news.sophos.com/en-us/2023/07/26/into-the-tank-with-nitrogen/
No hay comentarios:
Publicar un comentario